Krypteringsillustration
United States Postal Service (USPS) har fixat sitt trasiga API som hade avslöjat kontouppgifterna för 60 miljoner användare som hade registrerat sig för tjänsten 'Informed Delivery'.
Informed Delivery är en ny tjänst som USPS tillhandahåller genom vilken människor kan se skannade bilder på alla sina inkommande e-postmeddelanden. Bilderna skickas innan posten faktiskt levereras av företaget. Människor kan hålla koll på sina e-postmeddelanden och på förhand ta reda på om någon viktig post ska komma fram idag eller inte.
Säkerhetsfelet tillät alla som har ett konto vid U sps för att visa informationen om de andra registrerade användarna av tjänsten och till och med ändra informationen för dessa användare.
Felet exponerades först av en forskare förra året när han kunde extrahera data från användarna genom att skicka förfrågningar till servern. Forskaren försökte kontakta USPS flera gånger för att berätta om säkerhetsfelet, men allt förgäves. Forskaren visade att när du skickade jokertecken till servrarna, accepterade den majoriteten av dem så att andra kunde se detaljer om kontoinnehavarna.
Säkerhetsspecialist Brian Krebs sa att alla inloggade användare av USPS kunde söka efter kontouppgifter för andra användare av USPS. Kontouppgifter som kontonummer, användarnamn, e-postadress, användar-ID, telefonnummer, kampanjdata, adress och annan information var lätt tillgängliga. Ändringar i data kunde dock inte göras i vissa av fälten eftersom det fanns ett valideringssteg kopplat till dessa fält för att ändra data.
Enligt Krebs var det ett stort säkerhetsfel från USPS eftersom det inte fanns någon riktig hackingsexpertis som krävdes för att få tillgång till data. Den som har grundläggande kunskaper för att se och ändra elementen med hjälp av en webbläsare kan få tillgång till kontouppgifterna. USPS uppgav att de hittills inte har fått några bevis som tyder på att någon kontoinformation för sina användare har utnyttjats.
Taggar Data säkerhet
